IT之家 2 月 11 日消息，網(wǎng)絡(luò)安全公司 Malwarebytes 于 2 月 9 日發(fā)布博文，一個(gè)偽造的 7-Zip 官方網(wǎng)站（7zip.com）正在通過(guò)搜索引擎和 YouTube 教程傳播木馬程序。

本次安全事件源于一名用戶(hù)在觀看 YouTube 組裝電腦教程時(shí)，點(diǎn)擊了視頻下方的鏈接下載 7-Zip。該鏈接指向域名為 7zip [.]com 的網(wǎng)站，其頁(yè)面布局、文本內(nèi)容幾乎與官方正版網(wǎng)站 7-zip.org 一模一樣，極具欺騙性。

IT之家援引 bleepingcomputer 媒體報(bào)道，該惡意網(wǎng)站目前仍處于活躍狀態(tài)，且通過(guò)數(shù)字證書(shū)偽裝，極易誘導(dǎo)用戶(hù)下載。

Malwarebytes 研究人員分析發(fā)現(xiàn)，受害者運(yùn)行該安裝包后，電腦確實(shí)會(huì)安裝正版 7-Zip 軟件，但安裝程序會(huì)同時(shí)在 C:\Windows\SysWOW64\hero\ 目錄下釋放三個(gè)惡意文件：Uphero.exe（服務(wù)管理器）、hero.exe（代理負(fù)載主程序）及 hero.dll。

惡意軟件不僅會(huì)創(chuàng)建以系統(tǒng)最高權(quán)限（SYSTEM）運(yùn)行的自動(dòng)啟動(dòng)服務(wù)，還會(huì)利用 netsh 命令修改防火墻規(guī)則，強(qiáng)制允許這些程序建立入站和出站連接。

該惡意軟件的核心目的并非單純破壞，而是將受害者的電腦轉(zhuǎn)化為“住宅代理節(jié)點(diǎn)”。黑客利用 Windows 管理規(guī)范（WMI）搜集受害者的硬件、網(wǎng)絡(luò)及磁盤(pán)信息，并將這些數(shù)據(jù)發(fā)送至遠(yuǎn)程服務(wù)器。

隨后，受感染設(shè)備會(huì)被租售給第三方，用于隱藏攻擊者的真實(shí) IP 地址，從而執(zhí)行網(wǎng)絡(luò)釣魚(yú)、憑證填充（撞庫(kù)）等非法活動(dòng)。

該惡意軟件為了逃避安全檢測(cè)，具備高度的反偵察能力。它會(huì)主動(dòng)檢測(cè)系統(tǒng)是否運(yùn)行在 VMware、VirtualBox 等虛擬機(jī)環(huán)境中，一旦發(fā)現(xiàn)處于分析環(huán)境便會(huì)停止運(yùn)行。

在通信層面，它通過(guò) Cloudflare 基礎(chǔ)設(shè)施傳輸經(jīng) TLS 加密的流量，并利用谷歌解析器的 DNS-over-HTTPS 技術(shù)來(lái)隱藏 DNS 請(qǐng)求，導(dǎo)致常規(guī)的安全監(jiān)控手段難以察覺(jué)其異常行為。

研究人員發(fā)現(xiàn)，同一攻擊團(tuán)伙還利用類(lèi)似手法，制作了 TikTok 和 WhatsApp 等軟件的木馬安裝包。安全專(zhuān)家建議，用戶(hù)下載軟件時(shí)務(wù)必通過(guò)書(shū)簽訪(fǎng)問(wèn)官方域名，切勿輕信視頻網(wǎng)站或搜索引擎推廣中的第三方下載鏈接。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。